SiteGround是最受欢迎的WordPress网站托管主机之一,借助Google Cloud平台和高度优化的缓存设置,用户可以拥有快速访问的WordPress网站。
值得一提的是,在2021年,SiteGround还发布了一个名为SiteGround Security的安全插件,用于保护WordPress网站免受恶意攻击。在本文中,小编将简单如何使用SiteGround Security 插件保护来保护WordPress网站的安全。
为什么选择SiteGround Security插件?
众所周知,SiteGround已经有一个流行的SG Optimizer插件来优化速度,尽管该插件有超过一百万的活动安装,但SG Optimizer只能与SiteGround托管主机一起使用,而不能与任何其它托管服务提供商一起使用。
但是,SiteGround Security插件是一个通用插件,你可以通过托管在任何主机商的WordPress网站中安装此插件。或许你有这样的疑问,现在已经存在许多流行的安全插件(如Wordfence、iThemes Security等),为什么还要使用SiteGround Security,原因如下:
1、现在完全免费提供的WordPress安全插件并不多,而SiteGround Security就是一个完全免费的插件,没有高级功能的额外花费。虽然你会看到一个电子书下载链接,但它是免费的。
2、许多插件,例如流行的免费安全插件All In One WordPress Security and Firewall (AIOWPS),这个需要你了解技术知识才能使用该插件。而SiteGround Security插件非常易于设置,可以在几分钟内完成设置。
3、用户将SiteGround与SG Optimizer结合的不错选择。
4、禁用feed和活动监视器等功能对于将其包含在单个插件中很有用。
SiteGround Security插件的主要特点
1、禁用WordPress feed以保护网站免受不必要的内容窃取。
2、保护登录页面以防止暴力攻击。
3、监控活动日志以跟踪网站上的操作行为。
接下来将在以下部分中进行详细解释。毫无疑问,根据对SG Optimizer插件的使用经验,使用SiteGround Security也将会获得许多其它有用功能。
安装SiteGround Security插件
如上面所述,你可以在任何WordPress程序中安装使用SiteGround Security插件,这是 WordPress和插件存储库中免费提供的插件可以像任何其他插件一样从管理面板安装插件。
安装并激活插件后,进入“SG Security”部分设置插件,该插件具有以下部分,你可以导航和自定义不同的选项。
- Dashboard(仪表盘)
- Site Security(网站安全)
- Login Securit(登录安全)
- Activity(活动日志)
- Log Post-hack Actions (黑客攻击后的行动)
仪表板
仪表板部分将向你显示是否有任何待处理的安全操作。例如,如果插件、主题或核心WordPress有待处理的更新,这时你将看到通知。
此外,仪表板部分将显示用于管理安全和登录部分的快速链接,以及网站中最近发生的活动。
网站安全
玩转安全部分提供站点级保护选项,小编建议启用所有这些选项以提高安全性。
- 锁定和保护系统文件夹——这有助于防止未经授权访问核心WordPress和托管文件。
- 隐藏WordPress 版本——默认情况下,WordPress使用元标记显示你在页面标题部分使用的版本。使用此设置,你可以轻松地在标题部分禁用生成器元标记以删除WordPress版本。这将有助于保护你的网站,尤其是当你由于任何其他兼容性原因而使用较旧的WordPress版本时。
- 禁用主题和插件编辑器——你可以通过分别导航到“外观 > 主题编辑器”和“插件 > 插件编辑器”从管理面板访问主题和插件文件。如果你错误地将管理面板访问权限授予某人,他们可以使用这些编辑器轻松编辑您的主题和插件文件。因此,禁用它们是一个好的方法,尤其是当管理人员包含多个作者的WordPress博客时。
- 禁用XML-RPC——XML-RPC是WordPress连接第三方应用程序所遵循的数据传输机制。这是利用WordPress网站入侵最流行的方法,因此可以使用此选项禁用它。
- 强制HSTS——使用它来强制浏览器使用HTTPS协议。
- 禁用feeds——如果你不使用feeds阅读器,请使用此选项禁用所有WordPress RSS和ATOM提要。启用此选项后,插件会将feed页面重定向到父页面。
- XSS保护——添加额外的标头以保护站点免受XSS攻击。
- 删除readme.html 文件——这将删除你可以在浏览器上查看的默认readme.html 文件。
登录安全
在此部分下,可以保护登录页面免受恶意攻击。由于WordPress带有一个通用的登录URL,可以使用这些选项来保护你的网站。
- 更改登录——URL以禁用来自浏览器前端的默认wp-login.php和/wp-admin/访问。
- 用于登录访问的白名单IP地址。
- 启用双重身份验证以添加额外的安全层以登录你的站点。
- 禁用常用名称作为用户名,如 admin。
- 限制登录尝试次数,以阻止自动机器人尝试使用用户名和密码的随机组合登录你的站点。
要更改登录URL,请单击该选项的“Configure”按钮。在出现的弹出窗口中,单击“Custom ”选项并输入登录页面的slug。单击“Confirm”按钮以保存更改,这样从下次开始使用自定义的URL登录。
同样的,你可以通过在“Login Access”部分将你的IP地址列入白名单来管理登录访问。
活动日志
SiteGround插件将自动记录你网站上的所有实时活动,主要包括访问页面、发表评论、安装插件等。
- 获取用户是机器人还是真实用户的详细信息。
- 可以查看访问的时间戳、IP地址和页面 URL。
- 查看来自服务器的HTTP响应代码。使用它,你可以监控404事件并相应地设置重定向。
- 可以单击操作按钮并查看来自该特定IP地址的所有流量。
- 同样,如果你怀疑该IP地址出现问题,可以阻止该IP地址访问。
黑客攻击后行动
SiteGround Security插件还提供了一些黑客后恢复选项,可以在从攻击中恢复站点后使用这些选项。
- 从WordPress存储库中恢复所有以前安装的免费插件。
- 强制所有用户注销并强制重置密码。
SiteGround Security插件支持WP-CLI的主要功能,你可以使用此命令行界面更改参数,例如切换选项,而无需进入管理面板设置。
SiteGround Security插件需要面对的问题
SiteGround Security插件易于设置,并从你在站点中激活的那一刻起就开始保护网站。但是,这里有一些要点,那就是你在使用SiteGround Security 插件时需要记住:
- 该插件将预安装在所有带有SiteGround托管的WordPress安装中。当您想使用任何其他插件时,这可能会给你带来烦恼。所以为用户提供选项而不是强迫他们使用通用插件应该是SiteGround要做的事情。
- 该插件将创建日志条目两个数据库表 – wp_sgs_log_events和wp_sgs_log_visitors。默认情况下,活动日志会存储12天,如果你网站上有大量活动,这可能会造成很大的垃圾。目前还没有可用于删除活动日志或控制天数的前端选项。
- 有一些错误,例如更改登录URL将在注销时重定向到404页面。在某些安装中,此选项也不会起作用。
- 可以使用其它免费插件获得一些缺失的选项。
自定义SiteGround Security插件
与任何安全插件一样,你也可能会遇到SiteGround Security插件的某些问题。幸运的是,可以使用以下代码片段来解决这些问题。你可以使用托管帐户中的FTP或文件管理器将代码段添加到主题的 functions.php 文件中。
如果因自定义登录URL而退出,请使用以下代码:
add_action( ‘init’, ‘remove_custom_login_url’ );function remove_custom_login_url() { update_option( ‘sg_security_login_type’, ‘default’ );}
如果在使用登录访问选项将IP列入白名单时退出,可以使用以下代码:
add_action( ‘init’, ‘remove_login_access_data’ );function remove_login_access_data() { update_option( ‘sg_login_access’, array() );}
当限制登录尝试功能遇到问题时,请使用以下代码:
add_action( ‘init’, ‘remove_unsuccessfull_attempts_block’ );function remove_unsuccessfull_attempts_block() { update_option( ‘sg_security_unsuccessful_login’, array() );}
请记住,所有这些片段都会删除最初存储的设置,例如自定义URL、IP地址和阻止的登录尝试。这是访问你的管理面板的方式,一旦你进入了管理面板,那么就需要重新配置这些设置。
最后,如果你发现活动日志增加了数据库大小,请使用以下代码限制天数。代码中的5表示,日志的生命周期为5天,当然,你可以根据需要进行更改。
add_filter( ‘sgs_set_activity_log_lifetime’, ‘set_custom_log_lifetime’ );function set_custom_log_lifetime() { return ‘5’;}
简单总结
SiteGround Security是一个完整的免费插件,可以用于保护WordPress网站的安全。小编到时希望SiteGround 官方不要将此插件商业化,或者以后仅更改SiteGround 托管用户的范围。
此外,如果SiteGround添加额外的功能,例如评论垃圾邮件保护和其他优化设置,那么该插件将会更受欢迎。
总之,大家使用WordPress程序建站的话,如果还没有找到一个保护WordPress网站安全的有效方法,那么安装SiteGround Security插件未尝不是一个好主意。